Kritiske sikkerhetshull i Oracle

Oracle melder om at det er blitt funnet flere sårbarheter i Oracle Web Cache.

Sårbarhetene som rett før helgen ble rapportert av Oracle, skyldes ifølge Secunia en uspesifisert feil i håndteringen av forespørsler fra klienter.

Oracle oppgir ikke hva sårbarheten åpner for, bortsett fra at angriperne skal kunne utnytte sårbarhetene via Internett.

Betingelsene for at sårbarhetene skal kunne utnyttes, er at Web Cache kjøres og er konfigurert til å lytte på lytteporten til Application Web Cache etter alle typer forespørsler fra klienter, uavhengig hva slags server (Oracle HTTP Server, Apache, etc) innholdet opprinnelig stammer fra. Hvis forespørselen sendes direkte til opprinnelsesserveren, det vil si at den sendes utenom webcache'en, vil ikke sårbarhetene kunne utnyttes. Oracle understreker at de fleste standardinstallasjonene av Oracle Application inkluderer Web Cache, som også kan installeres som en selvstendig løsning.

De følgende versjonene av Web Cache skal være sårbare, uavhengig av operativsystem:

  • Oracle Application Server Web Cache 10g (9.0.4.0.0)
  • Oracle9iAS Web Cache 9.0.3.1.0
  • Oracle9iAS Web Cache 9.0.2.3.0
  • Oracle9iAS Web Cache 2.0.0.4.0

Oracle Application Server Web Cache 10g (9.0.4.0.0) for Windows, Tru64 og AIX er ikke berørt, da de allerede inneholde feilfiksene.

Informasjon om tilgjengeligheten av feilfikser skal finnes på denne siden (som krever innlogging).

Til toppen